Rikstv beskytter ikke kundene

Rikstv beskytter ikke kundene

Rikstv innrømmer at de sender personlig kundeinformasjon som navn og fødselsnummer ubeskyttet over internett. Kundene og Datatilsynet reagerer.

I forrige uke gikk Tormod Varhaugvik til Elkjøp på Storo for å bestille Rikstv. Da ble han bedt om å oppgi navn og fødselsnummer av kundebehandleren, som i sin tur tastet det inn på Rikstvs forhandlerportal. Da la Varhaugsvik merke til at internettforbindelsen ikke var kryptert, og at hans personlige informasjon ble sendt åpent over internett.

- Jeg ble helt paff. Hadde jeg visst om det før jeg hadde oppgitt fødselsnummeret, er jeg ikke sikker på om jeg ville gjort det i det hele tatt, sier Varhaugvik til Computerworld.

Tok risiko

Rikstv visste at informasjonen ble sendt ukryptert over internett allerede da forhandlertjenesten ble lansert i september, men kjørte på likevel.

- Det er riktig at vi sender navn og fødselsnummer ukryptert over internett. Vi har hele tiden ønsket å få det kryptert, men det var visst problemer med å sette det opp fra leverandørens side, sier kommunikasjonsdirektør Svein Ove Søreide i Rikstv til Computerworld.

- Men det er jo ikke vanskelig å sette opp en kryptert forbindelse, og det koster jo kun et par tusen kroner?

- Slik jeg er blitt forklart det, var det problematisk å sette opp denne forbindelsen, sier Søreide.

Likevel har bestillingsløsningen som brukes mot forbrukere på internett en kryptert forbindelse. Men forhandlerne har altså ikke fått dette tilbudet.

- Hvorfor lanserte dere tjenesten vel vitende om at kundens navn og fødselsnummer ble sendt ubeskyttet over nettet?

- Vi mente at det ikke var en alvorlig nok mangel til å endre salgsrutinene våre. Hvis vi hadde ventet på det, måtte forhandlerweben utsettes, forklarer Søreide.

Ifølge Søreide har de behov for å bruke fødselsnummeret for å gjennomføre en kredittsjekk og han mener at de ikke løper en stor sikkerhetsrisiko. Rikstv jobber nå for å få krypteringsløsningen på plass i løpet av november.

- For dårlig

Datatilsynet reagerer på det de oppfatter som lite profesjonelt fra Rikstvs side.

- Det er for dårlig. Om Rikstv har behov for å bruke fødselsnummer, skal de sørge for at overføringen skjer på en trygg og sikker måte. Det betyr kryptering, slår informasjonsdirektør Ove Skåra i Datatilsynet fast.

- Rikstv sier jo at de visste at informasjonen ikke gikk kryptert, men valgte å lansere tjenesten likevel. Hva synes Datatilsynet om det?

- Det er opprørende å si at ”vi hadde for dårlig tid”. Hvis man ikke har tid nok så er det sånn at man skulle ha ventet. Enda verre er det at de har gjort dette mot bedre viten, sier Skåra.

Tilsynet har bedt om en redegjørelse fra Rikstv om deres bruk av fødselsnummer, og fikk svar fra dem den 23. oktober i år. De jobber nå med å behandle saken.

- Det vi ser på er om de har et saklig behov for å bruke fødselsnummer. Om vi finner at de har det, vil vi også peke på pålegg om å kryptere informasjonen, sier Skåra.

Billig sikring

Tormod Varhaugvik har selv jobbet som it-konsulent i flere år, og vet at den type sikker forbindelse er svært enkel å sette opp.

- Dette koster ingenting å sikre seg mot. Det er bare å kjøpe et ssl-sertifikat til et par tusen kroner. Det er utrolig billig, særlig når man ser det i lys av andre saker med fødselsnummer som har vært i det siste, sier Varhaugvik.

Les om:

Sikkerhet